問題タブ [veracode]

JAVA EAR を Veracode セキュリティ ツールに送信しましたが、次のコードでパスワードのプレーンテキスト ストレージの問題が発生しました。

プロパティファイルには、このパスワードの値を保存しました。
誰かがこの問題を解決するのを手伝ってください。

通常、ベラコードを使用してコードの変更をスキャンし、セキュリティの脆弱性を検出します。今、私はと呼ばれる文字列で収集しているDBに文字列がcustFunctionalityあり、以前はこれをjspで次のように表示していました:

veracode がそれをスキャンしたところ、セキュリティ上の欠陥であることがわかりました。

だから私はc: outここで次のように使用しました：

ここでの問題は、文字列が HTML 関連のマークアップと、ページに表示する必要がある特殊文字で構成されていることですescapexml='false'。これらの文字を指定しないと、マークアップが実現しません。ただし、escapexml='false'コードには文字列が含まれているため、ファイルを再スキャンした後に発見したように、これは veracode のセキュリティ上の欠陥を構成します。

この泥沼から別の解決策を提案してくれる人はいますか?

IDE (eclipe) で veracode プラグインを使用することを検討しています。しかし、私たちの開発環境は「オフライン」です。つまり、インターネットにアクセスできません。

veracode プラグインは「オフライン」モードで機能しますか (セキュリティ バグのスキャンと表示)?

ここに状況があります: <c:out>DB からのデータを表示するために使用しているページがあり、コンテンツには登録商標としていくつかの特殊文字が含まれています。コードで Java、jsp、jstl を使用しています。登録商標記号は、次のように表示されます。

®

インポートは次のように完璧です:

以下のコードを使用して印刷すると、正しいレジストレーション マークが表示されますが、セキュリティ違反が発生します。

ここに : を指定したため、コードをスキャンするためにベラコードを使用していescapeXml="false"ます。ベラコードは、これが脆弱性であることを指摘しています。

したがって、escapeXml を削除すると、次のように表示されます。

この問題を解決する方法を教えてください。どんな助けでも大歓迎です。

アセンブリの 1 つを Veracode で分析したところ、OS コマンド インジェクション ( CWE-78System.Windows.AssemblyPart.Load(Stream) ) が可能になるため、 の使用は「重大な」セキュリティ上の欠陥であることがわかりました。

XAP モジュールを動的にロードするときは AssemblyPart.Load を使用します。つまり、リソース ストリームから AppManifest を読み取り、AssemblyPart を解析してからロードします。

まず、Silverlight に関連するこの欠陥を説明するものが見つからないため、Load(stream) がセキュリティ上の欠陥である理由がわかりません。

OS にとって潜在的に危険な場合、どのように軽減できますか?

テストしているコードで信頼境界違反が発生しています。コードはセッションにフォームを追加し、信頼境界違反として欠陥があります

太字で示されているコードで違反が発生しています。

どうすればこれを修正できますか? 検証をどこに追加すればよいかわかりません。Action クラスの execute メソッド内で作成される新しいフォームであり、値は request と db から取り込まれます

画像ギャラリーがあり、次の方法で画像をレンダリングしています

私のGetImage()関数は、画像を取得して返す場所の下にあります。

これはセキュリティ違反ですか。エラーは、ファイルを返す行に表示されます。

これを処理できるより良い方法はありますか?

この違反を回避するにはどうすればよいですか?

どんな提案でも大歓迎です

ありがとう